Aumenta l’asimmetria tra difensori e attaccanti. Gli agenti AI impongono nuovi modelli di difesa. Per HWG Sababa e Akito la sfida non è più soltanto proteggere infrastrutture e dati, ma governare sistemi autonomi capaci di agire, apprendere e decidere
L’intelligenza artificiale agentica viene raccontata come la prossima grande leva di efficienza. Sistemi capaci di decidere, agire e adattarsi autonomamente, destinati a rivoluzionare tutto, dalla produttività aziendale alla cybersecurity. Ma come spesso accade con le tecnologie che promettono di moltiplicare le capacità umane, la vera domanda non è che cosa possano fare quando funzionano, ma che cosa accade se sbagliano, o peggio, quando vengono manipolate. Gli incidenti cyber raccontano la stessa storia: il rischio non è più teorico. I primi exploit documentati basati su prompt injection dimostrano come sia possibile alterare configurazioni locali o abilitare l’esecuzione automatica di comandi. Gli incidenti in cui agenti autonomi operano con privilegi eccessivi o istruzioni mal interpretate possono tradursi in danni operativi e reputazionali rilevanti. Nei contesti enterprise più critici, le conseguenze si traducono in ore di fermo operativo, costi elevati di remediation e interruzioni dei servizi essenziali. Di fronte al moltiplicarsi dei segnali d’allarme, il pericolo vero è l’illusione di controllo su tecnologie adottate più rapidamente di quanto si stia imparando a governarle.
«Negli ultimi due anni l’intelligenza artificiale ha impresso un’accelerazione evidente al fronte offensivo» –mette in guardia Fabio Naccazzani, co-founder & CEO Akito. «Anzitutto perché ha reso più semplice automatizzare attività che richiedevano tempi lunghi e competenze specialistiche, dalla raccolta di informazioni preliminari alla costruzione di campagne di attacco. In questo scenario, continuare a presidiare il rischio con strumenti e modelli pensati per minacce e schemi di attacco superati, significa esporsi a un divario destinato ad ampliarsi».
La cybersecurity diventa adattiva
Il cybercrime evolve verso una dimensione sempre più agentica, fondata su sistemi capaci di agire in background, adattarsi dinamicamente al contesto, apprendere dalle interazioni con il bersaglio e rimodulare le proprie azioni quasi in tempo reale. «Non siamo di fronte a un semplice miglioramento incrementale delle capacità offensive. Stiamo assistendo a una mutazione qualitativa» – sottolinea Alessio Aceti, CEO di HWG Sababa. Una trasformazione che cambia radicalmente la postura richiesta alla difesa. La mancata adozione dell’AI peggiora il livello di asimmetria tra difensori e attaccanti. «Naturalmente non basta introdurre un agente AI di difesa per diventare automaticamente più sicuri. Significa però riconoscere che se l’attaccante ha già incorporato modelli non deterministici nei propri schemi operativi, continuare a difendersi con workflow rigidi equivale a giocare una partita con regole che l’avversario ha già superato». La cybersecurity non può più essere pensata come una sequenza di risposte predefinite a minacce note. Deve diventare capacità adattiva. «Non si tratta di aggiungere nuovi controlli a problemi già noti, ma di affrontare vulnerabilità che nascono dalla logica stessa dei sistemi intelligenti» – chiosa Naccazzani.
SOC, nuovo modello operativo
Il valore della tecnologia AI trova forse la sua espressione più evidente proprio dentro i Security Operation Center. La quantità di alert, segnali deboli, anomalie e tentativi di compromissione che attraversano le infrastrutture digitali è cresciuta a un ritmo tale da rendere insostenibile un modello interamente manuale. «Nessuna organizzazione può pensare di scalare la propria capacità difensiva moltiplicando all’infinito il numero degli analisti» – sottolinea Aceti. «Perciò il SOC non può più limitarsi a essere un presidio umano assistito dalla tecnologia. Deve diventare un ecosistema in cui agenti AI specializzati operano come layer operativo distribuito».
Il passaggio in corso è quello da un SOC in cui le attività principali sono affidate a un analista, a forme ibride di SOC assistito o semi-automatico, dove agenti specializzati eseguono una serie di task specifici. «Parliamo di agenti progettati per compiti molto concreti: interfacciarsi con lo stack tecnologico del cliente, accedere a basi dati interne, arricchire automaticamente i segnali raccolti, investigare alert non critici, ottimizzare le regole di detection e, in alcuni casi, attivare azioni di contenimento entro perimetri rigorosamente definiti» – spiega Naccazzani. «Oggi il valore reale di questi modelli risiede nella capacità di automatizzare gran parte degli alert, comprimere i tempi di detection e risposta, restituendo agli analisti il tempo necessario per concentrarsi su attività ad alto valore come threat hunting, intelligence e advisory strategico» – commenta Aceti. Un passaggio decisivo anche sul piano culturale. Sebbene sia legittimo temere che l’automazione nel SOC implichi una progressiva marginalizzazione delle competenze umane, in realtà, se progettata correttamente, restituisce centralità all’analista, sottraendolo alla fatica meccanica del triage continuo e riportandolo nel luogo – la comprensione profonda della minaccia – dove crea valore.
E il vero valore nasce dalla capacità di governare l’AI e integrarla nei processi operativi. «Abbiamo assunto il primo data scientist per occuparsi di AI a settembre 2022. Non si improvvisa. Ogni nuova versione di un agente viene preventivamente validata in ambiente sandbox, così da valutarne in modo rigoroso rischi operativi, comportamento e impatti potenziali. Le pipeline di sviluppo devono essere robuste e gli eventi di sistema devono essere immutabili. Introdurre agenti AI senza un processo rigoroso di validazione significa esporre i clienti a errori difficilmente controllabili» – spiega Aceti.
La sinergia tra HWG Sababa e Akito
La gestione della transizione dipende dalla maturità organizzativa sviluppata nel tempo. Una riflessione che si sposta inevitabilmente dal piano tecnico a quello organizzativo. «Senza governance, qualsiasi tecnologia si voglia adottare non potrà mai essere efficace» – continua Aceti. «Per questo non mi stancherò mai di ripetere che la risposta strutturale deve prevedere una governance esplicita e responsabilità definite».
Non un dettaglio metodologico, perché è lungo questa linea di faglia che si comprende il senso della sinergia tra HWG Sababa e Akito. Un’integrazione che non viene raccontata come la semplice sommatoria di capacità operative – da una parte l’expertise di Akito nella progettazione e integrazione di architetture di sicurezza, dall’altra la capacità di HWG Sababa di industrializzare servizi gestiti, automazione e monitoraggio evoluto – ma il superamento della logica delle identità separate per costruire una piattaforma comune. La sicurezza efficace non nasce dalla tecnologia in sé, ma dalla connessione tra assessment, governance, integrazione e operation. «Una visione premiata da risultati positivi sul fronte del fatturato, dell’ampliamento della base clienti e della marginalità» – afferma Aceti.
Fatti che assumono un significato particolare in un mercato come quello della cybersecurity, dove l’espansione quantitativa non coincide automaticamente con il rafforzamento strutturale. E dove molte realtà, soprattutto nel segmento dei servizi, faticano a coniugare crescita e sostenibilità economica. Nel caso di HWG Sababa e Akito, invece, la crescita economica è l’effetto misurabile di una sinergia che produce impatti tangibili sul mercato sia in termini di posizionamento sia di capacità di intercettare la domanda sempre più orientata verso modelli di cybersecurity integrata. «Pensare a HWG Sababa e Akito come due realtà separate non descrive più ciò che siamo oggi» – conclude Aceti. «Abbiamo costruito un ecosistema che integra tecnologie e competenze specialistiche. Il valore che portiamo ai clienti nasce dalla convergenza tra governance e capacità operative».
